パスワードを忘れた? アカウント作成
12496 story

三井住友銀行のATM情報がウィニーで流出 114

ストーリー by mhatta
こういうとき下請けはどう責任取らされるんだろう 部門より

sillywalk曰く、"朝日新聞の記事によれば、三井住友銀行からキャッシュカードに関するシステム情報が流出しました。ATMでキャッシュカードの磁気情報を読み込むための手順書のようで、孫請けの開発会社社員が自宅に資料を持ち帰り、そこからWinnyで流出した模様。なお同行では「流出データには具体的な個人情報は含まれておらず、被害が出ることは考えにくい」としていますが、今後どのような影響があるか心配です。(関連記事:三井住友銀行がワンタイムパスワード採用)"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2006年05月15日 14時09分 (#939177)
    コスト削減しか考えていないのに、下請けが
    何やっているか調べるわけ無いだろ。
    • ウチは小さな会社ですが先日、社のセキュリティ調査の為に取引先の大手某通信キャリアから4人くらいの人来てましたよ。
      セキュリティ専門の調査会社の人を交えて・・・。
      まぁ、対外的なポーズなのは見え見えでしたが、それでもウチの社員への圧力くらいには成ったでしょう。

      そこの某大手通信キャリアさんは定期的に個人情報保護の規約を交わすのですが、その度にこちらの個人情報を持っていくの微妙な気持ちです・・・。(理屈は判るが納得し難いです)
      親コメント
  • 「宿題脳」の恐怖 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2006年05月15日 18時04分 (#939282)
    学校の「宿題」が悪いんです。「宿題」なんて出すから、大人になっても仕事を持ち帰って家でやるのが当たり前だと思ってしまう。

    小学生のうちから勉強は学校で済ませるという習慣を身に着けておかないと、大人になっても変わりませんし、仕事を持ち帰ることに何の疑問も抱かないのです。

    このような思考停止に陥った脳を「宿題脳」と定義します。今まで「宿題脳」を持った労働者は、自宅における時間外労働を好んで引き受けるため、社会にとって有益でありましたが、インターネットを介した情報漏えいが社会問題となっている昨今においては、もはや有害でしかないのです。

    将来を担う子供たちを、このような「宿題脳」にさせないためにはどうすればよいか?答えは簡単です。「宿題」をなくせば良いのです。悪いのは全て学校の「宿題」なのです。
  • by Anonymous Coward on 2006年05月15日 13時00分 (#939138)
    「具体的な個人情報は含まれておらず」てそりゃ
    今注目を集めているのは個人情報の流出だけど、
    個人情報さえ含まれてなければ良いのかと小一時間。
    Winny さえ止めりゃ良いとか、問題の本質から目をそらしてばっかだな。どいつもこいつも。
  • もうあれじゃない? (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2006年05月15日 13時11分 (#939144)
    各企業は全社員に対して、自宅で仕事をするための専用のPCを支給すべきじゃないの?

    どんなに注意したって、現実問題として自宅に仕事を持ち帰る人はなくならない。
    万が一の被害を考えたら、案外一番現実的、かつ安上がりにすむ方法かも。
    • Re:もうあれじゃない? (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2006年05月15日 13時57分 (#939169)
      各企業は全社員に対して、自宅で仕事をしないよう職場に監禁すべきじゃないの?

      #スラドには、そういう最先端な勤務形態の方が何人かいらっしゃるようですが。
      親コメント
    • Re:もうあれじゃない? (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2006年05月15日 17時13分 (#939263)
      要はエロが欲しいだけなので、会社がエロを支給すればよい。
      エロ以外が欲しい奴もエロがあると疲れてその他には手が回らなくなる。

      どうよ?

      #遅刻の原因は昨晩3:00にダウンした【萌え】メイドたんハァハァ【エロ】.aviとか特定されちゃいますが(笑
      親コメント
    • by ncube2 (2864) on 2006年05月15日 14時58分 (#939195)
      データもプログラムもセンターのサーバーにしか置かない。
      各人に配るのは何もインストールできなきゃダウンロードもできないシンクライアント。
      おウチから接続したきゃVPNを支給でいいじゃん............
      ってのが各ベンダーから出てきましたね。
      親コメント
      • Re:昔のスタイルに返ろう (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2006年05月15日 15時19分 (#939209)
        そうだ!
        これからは、ディスクレス・Xターミナルの時代だ!!

        # こうして時代はめぐる
        親コメント
        • by Anonymous Coward on 2006年05月15日 17時25分 (#939273)
          移動中てくのさいえんす(仮名)という会社は全社SunRay + 2003 Serverになって、まさにその時代に逆戻りしているようです。
          GPで.exeがお仕着せのもの意外禁止にしてあるらしく、FlashとかJavaで小物そろえる羽目になったとか悲鳴が…
          セールストークでは「どこの拠点でも、IDカードを入れるだけで同じ環境になりますよ!各個人固定の席は必要ありません!」
          …Officeと2003だけありゃ済むのは営業だけで、エンジニアはそれじゃすまないのにぃぃぃって悲鳴がそこかしこから・・・
          # 自社がそうなったらストレスでつぶれるのでAC
          親コメント
    • Re:もうあれじゃない? (スコア:3, すばらしい洞察)

      by Elbereth (17793) on 2006年05月15日 13時14分 (#939147)
      支給された自宅仕事専用PCでファイル交換ソフトを
      利用して(以下略)という結果が目に見えています。
      親コメント
      • by Anonymous Coward on 2006年05月15日 13時22分 (#939151)
        「運用でカバー」とか頭の悪い事を言わずに、
        ちゃんと手を打てば何とでもやりようはあるはず。
        「そこまでやらなくても使用者が注意すれば...」なんて言って、
        半端な設備投資をすると、返ってコストに見合う効果が見込めなくなる。

        会社支給のマシンなら入れるアプリケーションを制限する事は可能だろ。
        それに、それこそ情報漏洩防止ソリューションの出番ではないかと。
        例えば、HitachiSoft「秘文」、NEC「InfoCage」、
        この系統で他にも有ったら教えて。
        親コメント
    • by muraco (28328) on 2006年05月15日 13時24分 (#939152) 日記
      ネットワーク接続されたPCのファイルを参照して流出させるウィルスとか、
      Winnyとか入れなくてもウィルスが勝手にP2P網を構築するとか、
      今後出てもおかしくないと思うけど。
      親コメント
      • by shojin (28072) on 2006年05月15日 15時41分 (#939222) 日記
        PCのファイルを流出させるわけではありませんが、
        P2Pのボットネットなら既にありますよ。
        暗号化とP2P駆使する新手のボットネット [itmedia.co.jp]

        これに最近使ったファイルを自動的にボットネットに
        流出させる機能がつけば、親コメントの恐れるような
        ものになるかと。

        これまでのボットネットはDDoSや迷惑メール送信、
        フィッシングサイト運営に使われて来ましたが、
        今後はこれが新たなトレンドになるかもしれないですね。
        親コメント
        • Re:P2Pボットネット (スコア:2, すばらしい洞察)

          by Anonymous Coward on 2006年05月15日 16時34分 (#939249)
          あえてP2Pでと限定する意味が良く分からない。
          侵入先のPCから情報を収集して、攻撃者の元へ届けるマルウェア、既にたくさんあるでしょう?

          Winny を介したそれの画期的なところは、
          情報の質など気にせずファイルを手当たり次第垂れ流すことと、
          送信先を限定せず、Winny ユーザー全員に平等に公開してしまう点にある、
          とそういう見方もあります。

          後者は通信のインフラとして Winny を利用するための副作用であって、
          マルウェア作者がわざわざそのような機能を実装するとは思えません。
          となれば、盗んだ情報の伝達手段にP2Pを用いるか否かは、
          ターゲットとされる我々にとって本質的な違いとは言えないでしょう。
          もちろん送信先、つまり攻撃者の居場所を擬装しやすくなる効果はあると思いますが。

          また既に何度も指摘されていることですが、Winny を介した流出は、
          その事実と内容を攻撃者でなくても検知可能であるという点で、まだマシなのですよ。
          本当に怖いのは情報流出が明るみになることではなく、
          流出した事実に気付かないまま、誰かの手によって悪用されてしまうことです。
          親コメント
    • Re:もうあれじゃない? (スコア:2, すばらしい洞察)

      by TarZ (28055) on 2006年05月15日 14時24分 (#939185) 日記
      盗難対策はどうするのですか? 実際、自宅に持ち帰った業務用ノートPCが盗難に遭った
      ケースを多数聞いたことがありますが。

      自宅の防犯対策まで会社で面倒をみますか?

      ちなみに、ファイルの暗号化は盗難対策にはなりません。暗号かけてあっても盗難されたら
      流出扱いです。お詫び会見の際に、「暗号化してあるので悪用の恐れは低い」という言い訳が
      追加できるだけ。

      # 大体、パスワードをPCに貼り付けている人もいるし。
      親コメント
    • Re:もうあれじゃない? (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2006年05月15日 17時21分 (#939269)
      ウチの会社は社員配布パソコンを…
      1.デスクトップ(省スペースタイプ)
      2.ノート
      3.モバイルノート
      …から選べる事になってはいるが、1は選択禁止って言われた。

      頻繁に家に仕事持ち帰る人は3を選ばせられている。
      (特に管理職)
      親コメント
    • by Y.. (7829) on 2006年05月15日 18時42分 (#939295) 日記
      注意?甘いでしょ
      クビにして損害賠償請求して、迷惑かけた人に還元でしょ当然
      それをするだけの価値がある情報なんだし
      そのくらいのリスクを背負う行為だと仕事を持ち帰る人は自覚するべきだと思うな

      それと、自宅で仕事できるためのPCを用意するくらいなら
      最初から自宅のみで仕事させる人を雇った方がいい
      その方が渡す情報を制御できるから安全性は高い
      安上がりな方法ってのは、きちんとした社員教育とムリのないスケジューリングでしょう
      最悪でも、持ち帰れる仕事とダメな仕事の区別さえつけば持ち帰るような状況に陥っても低めのリスクで切り抜けられるし
      きちんとした社員教育って大切だと思う
      (そういう教育受けた記憶とかないけどね)
      親コメント
      • Re:もうあれじゃない? (スコア:2, すばらしい洞察)

        by yakunin (27212) on 2006年05月16日 0時41分 (#939548) 日記
        >そのくらいのリスクを背負う行為だと仕事を持ち帰る人は自覚するべきだと思うな

        持ち帰らざるを得ない状況に追い込んだ会社としては
        持ち帰って仕事していたことは、叱れないので
        注意とするぐらいしかないのではないでしょうか?

        親コメント
    • Re:もうあれじゃない? (スコア:1, すばらしい洞察)

      by maimi09 (20395) on 2006年05月15日 14時02分 (#939173) ホームページ 日記
      >各企業は全社員に対して、自宅で仕事をするための専用のPCを支給すべきじゃないの?

      自宅に会社の仕事を持ち帰って続きをこなすのは・・・
      (家で残業するようなもので)暗黙の了解で賃金未払いを認めるようなもの。
      タイムカードの記録に残らない闇残業だよね。

      さらに家に持ち帰った仕事が要因で、翌日の業務に支障が出るような体調になったら(実質で副業をしているようなもので)副業禁止規定に反する。

      /**********************************************

        で、今日もデスマーチにつき闇残業でいこう。

      ぇっ、タイムカードの退社を押してから 闇残業して 、さらに終わらなかった分を 家でやっている から 闇闇残業 だってぇ。

      賃金払わなくってすむと Yummy!!なので もう ヤミィられ ません。
      とか、残業時間が多くなると聞かされる長い説教がイヤで闇残業にシフトてか。

      ただ貧乏は考える暇もなしに金銭シンドローム環境でも働くだけ
      *********************************************/
      --
      大槻昌弥(♀) http://www.ne.jp/asahi/pursuits/ootsuki/
      親コメント
    • Re:もうあれじゃない? (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2006年05月15日 15時42分 (#939224)
      もって帰れる時点で情報漏洩セキュリティが不十分でしょ?
      昨今の漏洩対策は別にWinny対策って訳ではないですよ。
      (実際そうなってる後手なとこが多いのは承知の上で。)

      おっしゃるような対策って、
      バケツの水漏れをバケツを修理して防ぐのではなく、
      バケツから漏れた水をうける茶碗を用意して済ますようなもんで、
      所詮既に外の漏れちゃってるもんどうしようと一緒です。
      親コメント
  • WinnyとかShareからの意図しない情報の流出って、もしかして当該ファイル共有ソフトウェアからファイルシステム空間の全てが見えるから起こってるのかな?そこでchrootしたWinnyを想像してみる。ん?でもユーザが不用意に実行したウィルスのプロセスはchrootされていないわけで、そもそもこいつがファイルシステム空間を見渡せる限りあんまり意味ないか orz

    ユーザが(少なくともコンピュータから見れば)意図的、明示的にウィルスのプロセスを起動しているわけで、そうなるとシステム的な防御ってのは難しいんだな、と改めてキンタマ系ウィルスの厄介さを認識した。

    ただし、Winnyプロセスを別のユーザのプロセスとして動かし、さらにWinnyがアクセスするファイルが格納されているディレクトリに対して適切にACLを設定すればかなり被害は抑えられるのではないだろうか。Runasを使うというのも手だし、たとえばWinnyという制限ユーザを作成し、Winnyを使うときには必ずそのユーザでログインするとか。まぁ手っ取り早くはマシンをもう一台用意したりVMwareのような仮想化ソフトを使うのがいいんだろうけど、OSのライセンスがもうひとつ必要になるのが欠点。

    chroot とか setuid みたいなことは Windows では一般的でない(OSがサポートしてない?)けど、Vistaではできるようになってるといいのにな。
    --
    屍体メモ [windy.cx]
    • by Yggdra (14017) on 2006年05月15日 18時12分 (#939286)
      > chroot とか setuid みたいなことは Windows では一般的でない(OSがサポートしてない?)けど、Vistaではできるようになってるといいのにな。

      chroot は無理ですけど「別のユーザとして実行」はできますね。

      NTFS 限定ですが、ほとんどのディレクトリにアクセスできないユーザを一つ作っておいて、得体の知れない(問題を引き起こしかねない)アプリケーションはそのユーザで実行させれば、ユーザ権限昇格の穴を付かれなければ、変なことをされても被害は抑えられるかもしれません。

      ついでに普段使うユーザから、そのアプリケーションの実行権限を奪っておけば、うっかり自分の権限で実行してしまうミスを防げます。

      # Winny に限定すると、ついでに Down フォルダまるまる実行権限を奪っておけば、落ちてくるであろうトロイの木馬の実行もある程度防げるかもしれませんね。

      ## しかし、そこまでやるなら VMware 使うかな……
      親コメント
  • 「孫請け」まで漏れてる情報っていう時点で、なんつーかその…
    まぁこの業界そんなの日常茶飯事ですが。

    企業と個人のだーいじな情報を取り扱うこの業界がこんな土建屋構造で良いのでしょうか。
    真っ先に子会社化されるシステム部門の悲劇ですかね。
    • by Jango (29897) on 2006年05月15日 14時26分 (#939187)

      読売 [yomiuri.co.jp]や、excite [excite.co.jp]にも記事が載っていますが、漏れたのがATMの設計書とか仕様書なわけで、
      そういうのも渡されない下請けの会社っていうのはあり得ないと思うんですけど、

      個人情報が含まれていない情報を、個人情報保護法 [kantei.go.jp]では扱いませんし、
      ここで議論すべきはwinnyで流出したという点だと思うのですが、いかがでしょう?

      親コメント
      • by Anonymous Coward on 2006年05月15日 15時21分 (#939211)
        しかし、やたらと漏れて良い仕様書でもないでしょう。
        Winnyだけ注目しても、盗難やら他のウィルスに引っかかる可能性もあるわけですから、部外秘のデータの扱いが杜撰である事には何ら変わりありませんね。

        この場合、専用PCを配布しても意味ないですね。
        重要データをいい加減に扱っている限り、売り飛ばす奴は絶対にいます。
        ICカードにしてセキュリティを強化しても、この現状ではあまり意味が無いでしょう。

        大本をきちんと対策しなければ、常に後手に回ることになってしまいます。winnyなどの表層にとらわれることなく、情報管理の徹底が必要でしょう。

        #個人情報が含まれていないからといって、問題無いとばかりは言えないでしょう。特にセキュリティに関係する場合は。
        親コメント
  • 危険 (スコア:3, すばらしい洞察)

    by misty_rc (2036) on 2006年05月15日 15時29分 (#939216) 日記
    なんか既に個人情報さえ含まれていなけりゃ
    たいした問題じゃない、みたいな風潮にまでなってる
    現実が恐ろしいね。
    漏れることがあたかも当たり前みたいな現状は
    そうとう麻痺してしまっているね、感覚が。

    どんな情報であれ、出るはずの無い情報が不正な
    方法で公になったこと自体が問題である、という
    認識がまったくない現われですね、この発表は。
    木を見て森を見ず、ってやつか?
  • ATM Winny 個人情報 (スコア:2, おもしろおかしい)

    by shiba (273) on 2006年05月15日 13時52分 (#939164) ホームページ
    一瞬 ATM に Winny がインストールしてあったのかと...
  • 高木さんがベタ褒めだった三井住友 [takagi-hiromitsu.jp]からこういうニュースが出てくるとは思いませんでしたね。
    ちょっと銀行全体が信用できない感じに。

    いくら堅牢なシステムを作っていてもシステムに関わる情報が漏れているようじゃナァ。

    三井住友と直接の契約はありませんが、周囲には「三井住友はセキュリティがいいらしい」と話してしまったこともあるID
    --
    Youthの半分はバファリンでできています。
  • by FireStorm (7429) on 2006年05月15日 14時40分 (#939191)
    「キャッシュカードの磁気情報を読み込むための手順」なら、
    既にラジオ○イフ等で明らかにされているので、
    いまさら問題では無い。

    とかだったら嫌だなぁ。
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...